Dall’8 marzo entra in vigore il Digital Markets Act (DMA), la cui applicazione prevede l’obbligo di interoperabilità per i servizi di messaggistica istantanea. Potremo, quindi, chattare con altre app utilizzando WhatsApp, proprio per effetto del nuovo regolamento europeo.
“L’interoperabilità è una chimera a lungo rincorsa dalle istituzioni europee per arrivare a effetti positivi concorrenziali e di beneficio anche sociale, di contrasto ai fenomeni di lock-in subiti finora con pochi big player sul campo – commenta Andrea Michinelli, Avvocato, FIP (IAPP), ISO/IEC 27001, Of counsel 42 Law Firm -. Non solo il DMA ma anche il Data Governance Act e la Direttiva PSD2 sull’open banking, per esempio, promuovono scenari di maggiore interoperabilità”.
Meta ha promesso di soddisfare il requisito di interoperabilità per WhatsApp e Messenger, offrendo l’opportunità di scambio di messaggi mediante il protocollo Signal.
“L’implementazione dell’interoperabilità tra i servizi di messaggistica differenti è sicuramente un aspetto positivo per gli utenti – conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus – un volano per l’innovazione nel settore digitale e per incentivare una concorrenza costruttiva tra i vari fornitori di servizi”.
Tuttavia, non è un’operazione priva di rischi e rimangono i dubbi degli esperti.
Indice degli argomenti
Effetto DMA: Meta rende interoperabili WhatsApp e Messenger attraverso Signal
Il Digital Markets Act (DMA), al via dall’8 marzo, prevede anche l’interoperabilità tra i servizi di messaggistica. Il social di Menlo Park ottempererà agli obblighi, rispettando il requisito da parte di WhatsApp e Messenger grazie al protocollo Signal.
“La scelta di un protocollo come Signal offre molteplici vantaggi – spiega Paganini – tra cui la possibilità di utilizzo di un’unica app per comunicare con utenti che utilizzano piattaforme differenti”.
L’interoperabilità non sarà di default, abilitata per configurazione predefinita, ma saranno gli utenti a scegliere se scambiare i messaggi con servizi di terze parti, tramite opt-in.
Il primo effetto è che gli utenti potranno effettuare l’installazione di una sola app, perché l’interoperabilità significa che sarà possibile scambiare messaggi fra WhatsApp e Telegram, per esempio.
“I vari fornitori di servizi di instant messaging saranno dunque stimolati a fornire applicazioni sempre più user-friendly – continua Paganini – con l’obiettivo di renderle una scelta ottimale in un’offerta che è destinata ad aumentare grazie all’ingresso di nuovi aziende nel mercato”.
Saranno i provider di terze parti a siglare un’intesa con Meta per abilitare l’interoperabilità. WhatsApp e Messenger usufruiscono del protocollo Signal per garantire la crittografia end-to-end. Anche i provider di terze parti dovrebbero utilizzare lo stesso protocollo per assicurare maggiore sicurezza, ma possono anche avvalersi di un protocollo compatibile.
“Nuove funzionalità di messaggistica potrebbero inoltre determinare il successo di nuove soluzioni“, mette in guardia Paganini: ma “per le aziende questo obbligo potrebbe sicuramente celare difficoltà tecniche legate all’implementazione dell’interoperabilità”.
I dettagli
Meta deve monitorare sia il client del mittente che del destinatario per assicurare che non sia possibile intercettare le comunicazioni. Il protocollo Signal, infatti, protegge i messaggi in transito: tuttavia, Meta non può avere il controllo sull’altro client (per esempio, Telegram) e dunque non può monitorare come avviene la gestione dei messaggi spediti e ricevuti da parte del provider di terze parti.
Per esempio, il client di terze parti si collega ai server di WhatsApp attraverso il protocollo di Meta che si basa su XMPP (Extensible Messaging and Presence Protocol). I server di WhatsApp possono interfacciarsi con quelli di terze parti attraverso HTTP per svolgere diverse operazioni, fra cui l’autenticazione e l’invio delle notifiche push.
Gli aspetti legali
“Il DMA è particolarmente severo in tema di interoperabilità – mette in evidenza Andrea Michinelli – per esempio recita che ‘al gatekeeper non dovrebbe essere consentito adottare comportamenti che compromettano l’interoperabilità richiesta dal presente regolamento, per esempio utilizzando misure tecniche di protezione ingiustificate, condizioni di servizio discriminatorie, rivendicando illecitamente un diritto d’autore sulle interfacce di programmazione delle applicazioni o fornendo informazioni fuorvianti’. I gatekeeper come Meta, infatti, devono invece consentire, gratuitamente, l’interoperabilità con servizi di terzi, come imposto all’art. 7 DMA ai servizi di comunicazione interpersonale“.
Introdotto per contrastare gli abusi di posizione dominante prima che del loro insorgere, il DMA prevede whitelist (con nuovi obblighi per le aziende), blacklist (con divieti e restrizioni per evitare pratiche sleali) e multe per le big tech che non adotteranno le misure previste per rispettare gli obblighi.
“Oggi, con la piena applicabilità del DMA, Meta dimostra di aver recepito il messaggio e comunica di rendere interoperabili le funzioni di base prescritte dal DMA stesso (messaggistica e condivisione contenuti) sempre di più, in una scala di scadenze (due/quattro anni) fissata sempre dal Regolamento”, avverte Michinelli.
I dubbi degli esperti: a rischio la sicurezza
Tuttavia l’obbligo d’interoperabilità non è privo di rischi. Infatti “restano cruciali gli aspetti di implementazione dei protocolli, che potrebbero, se non correttamente realizzati introdurre severe vulnerabilità in prodotti oggi ritenuti sicuri“, conclude Paganini.
“Vari aspetti, però, restano dubbi e da monitorare – la maggiore apertura e interoperabilità offre il fianco a possibili falle nella sicurezza e nel corretto adempimento di obblighi sulla protezione dei dati nei rapporti con i terzi, conferma Michinelli: “Per citarne uno: sebbene Meta sottolinei la sua trasparenza, non affronta esplicitamente il come gli utenti saranno informati sulle limitazioni dell’interoperabilità rispetto alle chat standard di WhatsApp o Messenger. Ciò è fondamentale per garantire un consenso informato degli utenti e gestirne le aspettative”.
Un altro punto dolente riguarda il fatto che “si riconosce il potenziale rischio di una maggiore esposizione dei dati con l’opzione ‘proxy’ per i fornitori terzi, ragion per cui è da comprendere come si garantirà l’implementazione di solide misure di protezione dei dati”, sottolinea Michinelli.
“L’apertura a terzi richiede infatti la sottoscrizione di appositi accordi per poter documentare impegni concreti sotto questo profilo. Però nel suo comunicato Meta afferma che – al netto dell’uso del protocollo di Signal – non può garantire cosa farà il terzo ricevente i dati con questi e come li proteggerà. Diventano dunque importanti i testi di questi accordi con i terzi, come metro per comprendere in che modo ci si sia posti il dilemma, specie proprio nell’ipotesi di uso di un proxy con misure aggiuntive da parte del terzo”, conclude Michinelli: “In definitiva, si plaude all’intrapresa di un percorso sull’agognatissima interoperabilità, ma è solo il primo passo di un cammino articolato e non privo di insidie“.
